BestPracticesForSecurityGroups コンプライアンスパッケージは、セキュリティグループルールへの準拠を継続的にチェックし、セキュリティリスクを軽減します。このトピックでは、BestPracticesForSecurityGroups コンプライアンスパッケージで提供されるマネージドルールについて説明します。
ルール名 | ルールの説明 |
インバウンドルールの「承認オブジェクト」パラメーターが 0.0.0.0/0 に設定されている場合、セキュリティグループの各インバウンドルールが、指定された範囲のポートからのアクセスのみを許可するかどうかを確認します。許可されている場合、評価結果は「準拠」になります。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」になります。 | |
各セキュリティグループのインバウンド権限付与ポリシーが「許可」に設定され、ポート範囲が -1/-1 に設定されているか、または承認済み IP アドレスが 0.0.0.0/0 に設定されているか、あるいは優先順位の高い権限付与ポリシーが設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」になります。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」になります。 | |
インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合、セキュリティグループのインバウンドルールの「ポート範囲」パラメーターが「すべて」に設定されているかどうかを確認します。設定されていない場合、評価結果は「準拠」になります。インバウンドルールの「ポート範囲」パラメーターが「すべて」に設定されているが、すべてのポートからのアクセスが優先順位の高いインバウンドルールによって拒否されている場合も、評価結果は「準拠」になります。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」になります。 | |
インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合、セキュリティグループのインバウンドルールの「プロトコルタイプ」パラメーターが「すべて」に設定されているかどうかを確認します。設定されていない場合、評価結果は「準拠」になります。インバウンドルールの「プロトコルタイプ」パラメーターが「すべて」に設定されているが、すべてのプロトコルを介したアクセスが優先順位の高いインバウンドルールによって拒否されている場合も、評価結果は「準拠」になります。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」になります。 | |
インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合、インバウンドルールの「承認オブジェクト」パラメーターがパブリック IP アドレスまたはパブリック CIDR(Classless Inter-Domain Routing)ブロックに設定されているかどうかを確認します。設定されていない場合、評価結果は「準拠」になります。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」になります。 | |
各セキュリティグループのアウトバウンドルールが、すべての CIDR ブロックからのアクセスを拒否しているかどうかを確認します。拒否している場合、評価結果は「準拠」になります。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」になります。 | |
各 ECS インスタンスが、指定されたセキュリティグループに追加されているかどうかを確認します。追加されている場合、評価結果は「準拠」になります。 | |
各セキュリティグループの IP アドレスホワイトリストに 0.0.0.0/0 が追加され、高リスクポートが無効になっているかどうかを確認します。追加され、無効になっている場合、評価結果は「準拠」になります。セキュリティグループの IP アドレスホワイトリストに 0.0.0.0/0 が追加されていない場合、高リスクポートが無効になっているかどうかに関係なく、評価結果は「準拠」になります。高リスクポートが優先順位の高い権限付与ポリシーによって拒否されている場合、評価結果は「準拠」になります。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」になります。 |